Há alguns dias foi descoberta uma falha grave no Apache, famoso servidor web quase sempre usado em ambientes GNU/Linux. Ela não é sensível a segurança pois não permite roubar dados, mas é grave por deixar o servidor fora do ar rapidamente (ataque de negação de serviço, DoS).
Ela foi corrigida na versão 2.2.20, que já deve estar disponível em alguns mirrors – no Debian foi corrigida no dia 29.
Basicamente a correção se dá no tratamento dos intervalos de bytes chamados para os arquivos, um recurso que permite baixar apenas uma parte deles. É algo extremamente utilizado em gerenciadores de downloads para baixar várias partes ao mesmo tempo, ou continuar downloads interrompidos, onde é necessário informar ao servidor em que ponto o programa deseja começar a puxar os dados.
Em algumas situações, dependendo das requisições enviadas o Apache consumia muita memória e CPU, ficando virtualmente travado – ou seja, deixando todo o servidor web offline.
A correção reduz a quantidade de memória solicitada pelo recurso. E se a soma de todos os intervalos solicitados for maior do que o tamanho original do arquivo, o servidor passará a ignorar esse pedido e simplesmente entregará o arquivo inteiro.
Na prática isso não deve afetar os gerenciadores de download nem a continuação dos que estiverem em pausa, já que nenhum programa legítimo em “sã consciência” pediria para baixar mais bytes do que os que os arquivos têm.
Deixe seu comentário